统计报告[2017] 149期习总书记讲话中指出，我们的工作一定要抓住“巧”这个字，要以大统小，动静相宜。大事讲原则，小事讲风格，难事讲技巧，将促进处事水平与舆论形象同步提升。近期发生的固态硬盘主控芯片后门漏洞的事件，虽然从技术角度来看主控芯片无法绕过CPU自行对数据进行读写处理，暂时还未发生重大的数据泄露事件，但对硬件设备的妥善使用、管理和维护是对整个统计系统安全运行和提高工作效率的有效保障，发现风险点、“巧”处理、降低数据泄露风险、防患于未然是数据管理中心的责任义务。一、理性分析，后门漏洞事件的发生固态硬盘与我们的工作联系紧密，目前市面上固态硬盘产品的性能已经明显优于传统硬盘，未来趋势将取代机械硬盘成为新的存储介质。从2016年全球固态硬盘市场销售状况及厂商销售比例报告中可以看出，无名厂商固态硬盘销售比例占30%，可见 固态硬盘生产的市场进入门槛低较低。生产门槛低造成大量没有自主研发技术的固态硬盘厂商进入市场。固态硬盘是由主控芯片、闪存颗粒和缓存单元组合的电子集成板。其中，主控芯片最为重要，承担着指挥、运算以及协调的作用。没有自主研发技术的固态硬盘厂商会选择成本低廉的主控芯片厂商做供货商。相当多的国内固态硬盘品牌选择使用价格低廉的芯片产品以降低成本，为市场上现有的固态硬盘产品埋下数据安全的隐患。二、雷厉风行，开展固态硬盘主控芯片排查根据自治区网络与信息安全信息通报中心文件要求，为进一步防范，防止重要信息、敏感数据泄露，我局对所有终端计算机及笔记本电脑进行了固态硬盘主控芯片的排查。第一步及时组织全局进行自查工作。按照内蒙古公安厅网络与信息安全信息通报中心《关于固态硬盘主控芯片存在后门漏洞的情况通报》要求，内蒙古统计局数据管理中心对我局接入内外网的所有终端计算机及笔记本电脑进行了排查。数管中心派专人具体负责此项工作，抓紧落实，制作硬盘自查步骤详图，指导全局工作人员进行硬盘自查，并对反馈的硬盘截图进行了仔细筛查。第二步逐一查验反馈结果登记结果。经过技术人员对全局范围内所有电脑进行查验排查后，对全局硬件检测结果进行了认真如实的登记。第三步回收问题电脑拆机详查。通过排查，2017年之前购置的计算机未发现有安装固态硬盘的情况，2017年购置并且接入内外网的25台计算机（一个批次、型号为：Workstation TS P320）安装有固态硬盘。通过拆卸固态硬盘，了解到固态硬盘名称是lenovo SPEED up-b-128g，硬盘控制器型号为sm2246en，属于已确定存在安全漏洞的固态硬盘列表。第四步通过会诊提出处置意见。对确实装载有疑似安全漏洞问题的固态硬盘系列电脑采取了立即停止使用设备，并及时更换硬件的措施。在保证无数据泄露风险的前提下，通过多部门协商会诊，对中枪电脑提出三条处置意见：1.25台计算机均安装有两块硬盘，一块固态一块机械，建议拆除固态硬盘，将操作系统安装在机械硬盘；2.与供货商联系，确定是否可以更换不存在安全隐患的固态硬盘；3.与供货商联系，确定是否可以通过升级固件等方式修补漏洞，消除安全隐患。三、防患未然，加强突发事件应急处理能力通过此次全面排查工作，提高了我局整体数据安全防护能力，全局工作人员的数据安全防范意识有了进一步的提高。今后，有针对性地举办多项计算机安全知识普及活动，提高全区各级统计部门计算机安全防范意识。从保障数据安全为出发点，加强对突发事件的应急处置能力，积极开展数据安全保密工作知识普及工作，利用政府+公安+互联网，搭建数据安全保障平台。从三个方面做好数据安全保密保障工作：一是加强与政府、公安保密部门的联系，及时发现嫌疑事件，隔离数据泄露问题。二是对供货公司加强监督，对提供硬件、软件服务的供货公司提出高要求，用最严格规范控制供货公司提供的产品与服务。三是加强安全考核全覆盖工作。按照国统办字〔2017〕41号文件中《网络安全工作考核办法》的要求，对全区统计系统数据管理部门安全工作进行文档检查、系统远程检测、实地抽查等不定期抽查方式加强全区数据安全管理工作。我中心会继续改进工作方式，动静相宜，加强突发事件应急能力，更加有效的保障统计数据安全及信息系统的安全运行。